Los hackeos están a la orden del día, y muchos de ellos se hacen de manera especializada contra un objetivo concreto, como pueden ser empresas o personas de poder o alta influencia. Ahora, un grupo de diez hackers ha sido detenido tras una operación internacional en la que se ha desmantelado una red que atacaba a personas famosas utilizando ataques de SIM Swapping.
El SIM Swapping es la técnica que consiste en crear un duplicado de la tarjeta SIM de una persona haciéndose pasar por ella llamando, por ejemplo, al operador. Conociendo todos los datos personales de esa persona, como el número de teléfono, dirección, nombre completo y número de identidad, se puede generar un duplicado de tarjeta SIM para robarle el número de teléfono.
Influencers, deportistas y músicos, entre las principales víctimas
Hacer este tipo de ataque a una persona normal y corriente es difícil de monetizar, pero hacerlo a un famoso puede tener consecuencias nefastas. Este tipo de atacantes tenía entre sus objetivos influencers de Internet, estrellas del deporte, músicos, y miembros de sus familias.
La investigación se estaba llevando a cabo desde hace un año con la colaboración de las autoridades de Reino Unido, Estados Unidos, Bélgica, Malta y Canadá. El 9 de febrero se produjeron ocho arrestos, después de haber arrestado a otras dos personas en Malta y Bélgica, los cuales pertenecían a la misma red criminal. En total, Europol estima que consiguieron robar más de 100 millones de dólares, incluyendo dinero en efectivo y criptomonedas. Los arrestados tenían entre 18 y 26 años, y los ocho últimos arrestos se produjeron todos en Reino Unido (todos en Inglaterra y Escocia). Los atacados eran principalmente residentes en Estados Unidos, que es donde están el mayor número de famosos.
Al robarles el número de teléfono, los atacantes tenían acceso a la verificación en dos pasos, y podían recibir códigos de SMS para cambiar las contraseñas de las cuentas que usaban. Entre esas cuentas había varias de plataformas de pago, e incluso de portales de intercambio de criptomonedas. También conseguían hacerse con el correo electrónico, a partir de lo cual ya podían tomar el control de cualquier cuenta del usuario.
Evita publicar datos personales en Internet
Para evitar estos ataques, Europol da cinco consejos clave. El primero es tener los dispositivos que usemos siempre actualizados con la última versión para evitar que nos puedan espiar a través de vulnerabilidades. El segundo es que no respondamos a emails o llamadas sospechosas; sobre todo si nos piden demasiada información personal. Limitar la cantidad de información personal que publicamos en Internet también es clave. Si podemos evitar dar nuestro número de teléfono real, mejor, así como también usar verificación en dos pasos que no utilice el envío de SMS, sino aplicaciones de autenticación como Google Authenticator. De cara al futuro, con las tarjetas eSIM será más fácil evitar este tipo de ataques.